CheckPoint防火墙配置
C h e c k P o i n t防火墙配
置
Company Document number:WTUT-WT88Y-W8BBGB-BWYTT-19998
C h e c k P o i n t 防火墙配置
╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施
S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l
C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e
版本号:1.0.0
中国移动通信有限公司网络部
目录
前言
概述
1.1 适用范围
本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考
1.2内部适用性说明
本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。
内容采纳意见备注
1.不同等级管理员分配不同账
完全采纳
号,避免账号混用。
2.应删除或锁定与设备运行、维
护等工作无关的账号。
完全采纳3.防火墙管理员账号口令长度至
少8位,并包括数字、小写字
母、大写字母和特殊符号4类
中至少2类。
完全采纳
4.账户口令的生存期不长于90
天。部分采纳IPSO操作系统支
持
5.应配置设备,使用户不能重复
使用最近5次(含5次)内已
使用的口令。部分采纳IPSO操作系统支
持
6.应配置当用户连续认证失败次
数超过6次(不含6次),锁
定该用户使用的账号。部分采纳IPSO操作系统支
持
7.在设备权限配置能力内,根据
用户的管理等级,配置其所需
的最小管理权限。
完全采纳
8.设备应配置日志功能,对用户
登录进行记录,记录内容包括
用户登录使用的账号,登录是
否成功,登录时间,以及远程
登录时,用户使用的IP地址。
完全采纳
9.设备应配置日志功能,记录用
户对设备的重要操作。
完全采纳10.设备应配置日志功能,记录对
与设备相关的安全事件。
完全采纳11.设备配置远程日志功能,将需
要重点关注的日志内容传输到
日志服务器。
完全采纳
12.防火墙应根据业务需要,配置基于
源IP地址、通信协议TCP或
UDP、目的IP地址、源端口、目
的端口的流量过滤,过滤所有和业
务不相关的流量。
完全采纳
13.对于使用IP协议进行远程维护
的设备,设备应配置使用
SSH,HTTPS等加密协议。
完全采纳
14.所有防火墙在配置访问规则
时,最后一条必须是拒绝一切
流量。
完全采纳
15.在配置访问规则时,源地址和
目的地址的范围必须以实际访
问需求为前提,尽可能的缩小
完全采纳
范围。
16.对于访问规则的排列,应当遵
完全采纳从范围由小到大的排列规则。
17.在进行重大配置修改前,必须
完全采纳对当前配置进行备份。
18.对于VPN用户,必须按照其
完全采纳访问权限不同而进行分组,并
在访问控制规则中对该组的访
问权限进行严格限制。
19.访问规则必须按照一定的规则
完全采纳进行分组。
20.打开防DDOS攻击功能。完全采纳
21.对于常见病毒的端口号应当进
完全采纳行端口的关闭配置。
22.限制ping包的大小,以及一段
完全采纳时间内同一主机发送的次数。
23.对于各端口要开启防欺骗功
完全采纳能。
24.对于具备字符交互界面的设
完全采纳备,应配置定时账户自动登
出。
25.对于具备图形界面(含WEB
完全采纳界面)的设备,应配置定时自
动登出。
26.对于具备console口的设备,
完全采纳应配置console口密码保护功
能。
27.对于登陆账户的ip地址,配置
完全采纳为只允许从某些ip地址登陆。
28.对于外网口地址,关闭对ping
完全采纳包的回应。建议通过VPN隧
道获得内网地址,从内网口进
行远程管理。
29.设定统一时钟源完全采纳
30.设定对防火墙的保护安全规则完全采纳
31.根据实际的网络连接调整防火
完全采纳墙并发连接数
32.双机集群架构采用VRRP模式
部分采纳部署
33.透明桥模式须关闭状态检测有
完全采纳关项
34.对管理服务器的日志文件大小完全采纳
和转存必须进行设置,并保护
系统磁盘空间
35.配置SNMP监控完全采纳
36.设置与防火墙互联的网络设备
完全采纳
端口速率,双工状态
1.3外部引用说明
《中国移动网络与信息安全保障体系总纲》
《中国移动内部控制手册(第二版)》
《中国移动标准化控制矩阵(第二版)》
1.4术语和定义
设备配置要求:描述在规范适用范围内设备必须和推荐采用的配置要求。在工程验收和运行维护时采用。功能要求是实现配置要求的基础。
1.5符号和缩略语
(对于规范出现的英文缩略语或符号在这里统一说明。)
2CHECKPOINT防火墙设备配置要求
编号:CHECKPOINTFW-PZ-1
要求内容不同等级管理员分配不同账号,避免账号混用。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法1、判定条件
用配置中没有的用户名去登录,结果是不能登录
2、检测操作
在图形界面登陆
3、补充说明
无。
编号:CHECKPOINTFW-PZ-2
要求内容应删除或锁定与设备运行、维护等工作无关的账号。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法1、判定条件
配置中用户信息被删除。
2、检测操作
无。
3、补充说明
无。
编号:CHECKPOINTFW-PZ-3
要求内容防火墙管理员账号口令长度至少8位,并包括数字、小写
字母、大写字母和特殊符号4类中至少2类。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法1、判定条件
该级别的密码设置由管理员进行密码的生成,设备本身无
此强制功能。
2、检测操作
无。
3、补充说明
无。
编号:CHECKPOINTFW-PZ-4
要求内容账户口令的生存期不长于90天。
操作指南1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法1、判定条件
设备无此功能
2、检测操作
无。
3、补充说明
无。
编号:CHECKPOINTFW-PZ-5
要求内容应配置设备,使用户不能重复使用最近5次(含5次)内
已使用的口令。
操作指南1、参考配置操作
设备无此功能。
2、补充操作说明
无。
检测方法 1.判定条件
无。
2.检测操作
无。
3.补充说明
编号:CHECKPOINTFW-PZ-6
要求内容应配置当用户连续认证失败次数超过6次(不含6次),
锁定该用户使用的账号。
操作指南1、参考配置操作
设备无此功能
2、补充操作说明
无。
检测方法 1.判定条件
无。
1.检测操作
无。
2.补充说明
无。
编号:CHECKPOINTFW-PZ-7
要求内容在设备权限配置能力内,根据用户的管理等级,配置其所
需的最小管理权限。
操作指南1、参考配置操作
2、补充操作说明
对于管理员不同权限设置,可以定义不同管理员的访问模
块以及相应权限。
检测方法 1.判定条件
不同用户登陆,尝试访问不同的模块。用户不能访问自己
权限以外的模块。
2.检测操作
不同用户登陆,尝试访问不同的模块。
3.补充说明
编号:CHECKPOINTFW-PZ-8
要求内容设备应配置日志功能,对用户登录进行记录,记录内容包
括用户登录使用的账号,登录是否成功,登录时间,以及
远程登录时,用户使用的IP地址。
操作指南1、参考配置操作
2、补充操作说明
设备只能部分支持该项配置要求。
检测方法 1.判定条件
在服务器上正确纪录了日志信息。
2.检测操作
查看日志模块。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-9
要求内容设备应配置日志功能,记录用户对设备的重要操作。
操作指南1、参考配置操作
2、补充操作说明
设备只支持纪录部分关键操作。
检测方法 1.判定条件
对设备的操作会记录在日志中。
2.检测操作
查看日志模块。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-10
要求内容设备应配置日志功能,记录对与设备相关的安全事件。
操作指南1、参考配置操作
2、补充操作说明
支持纪录所有的安全事件。
检测方法 1.判定条件
在服务器上正确纪录了日志信息。
2.检测操作
display logbuffer
3.补充说明
无。
编号:CHECKPOINTFW-PZ-11
要求内容设备配置远程日志功能,将需要重点关注的日志内容传输
到日志服务器。
操作指南1、参考配置操作
2、补充操作说明
可以设置发送的日志服务器IP地址。
检测方法 1.判定条件
日志服务器上是否接收到了正确的日志信息。
2.检测操作
在日志服务器上查看信息。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-12
要求内容防火墙应根据业务需要,配置基于源IP地址、通信协议
TCP或UDP、目的IP地址、源端口、目的端口的流量过
滤,过滤所有和业务不相关的流量。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法 1.判定条件
查看正常流量是否可以通过防火墙,非法流量是否被防火
墙阻隔。
2.检测操作
使用不同的流量进行测试。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-13
要求内容对于使用IP协议进行远程维护的设备,设备应配置使用
SSH等加密协议。
操作指南1、参考配置操作
使用SSH客户端登陆防火墙。
2、补充操作说明
无。
检测方法 1.判定条件
SSH可以登陆防火墙。
2.检测操作
使用SSH客户端登陆防火墙。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-14
要求内容所有防火墙在配置访问规则时,最后一条必须是拒绝一切
流量。
操作指南1、参考配置操作
将最后一条策略配置成拒绝一切流量。
2、补充操作说明
无。
检测方法 1.判定条件
无。
2.检测操作
查看策略配置。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-15
要求内容在配置访问规则时,源地址和目的地址的范围必须以实际
访问需求为前提,尽可能的缩小范围。
操作指南1、参考配置操作
根据实际访问需求,缩小地址范围。
2、补充操作说明
无。
检测方法 1.判定条件
无。
2.检测操作
根据实际访问需求,检查配置情况。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-16
要求内容对于访问规则的排列,应当遵从范围由小到大的排列规
则。
操作指南1、参考配置操作
按照访问规则涉及范围大小来排序。
2、补充操作说明
无。
检测方法 1.判定条件
检查访问规则的排列,查看是否是遵从范围由小到大的排
列原则。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-17
要求内容在进行重大配置修改前,必须对当前配置进行备份。
操作指南1、参考配置操作
在进行重大配置修改前,备份当前配置。
2、补充操作说明
无。
检测方法 1.判定条件
查看是否有前期的配置备份。
2.检测操作
查看备份配置
3.补充说明
无。
编号:CHECKPOINTFW-PZ-18
要求内容对于VPN用户,必须按照其访问权限不同而进行分组,并
在访问控制规则中对该组的访问权限进行严格限制。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法 1.判定条件
查看用户是否已经按照权限不同进行分组。
2.检测操作
查看用户分组情况。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-19
要求内容访问规则必须按照一定的规则进行分组。
操作指南1、参考配置操作
按照一定的规则对访问控制规则进行分组。
2、补充操作说明
无。
检测方法 1.判定条件
查看访问控制规则是否已经分组。
2.检测操作
查看访问控制规则分组情况。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-20
要求内容打开防DDOS攻击功能。
操作指南1、参考配置操作
打开防DDOS攻击功能。
2、补充操作说明
打开该功能后,对该功能进行一定的配置。
检测方法 1.判定条件
查看是否已经将此功能打开。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-21
要求内容对于常见病毒的端口号应当进行端口的关闭配置。。
操作指南1、参考配置操作
使用访问控制策略关闭病毒常用端口
2、补充操作说明
无。
检测方法 1.判定条件
是否已经将常用病毒端口关闭。
2.检测操作
查看访问控制策略。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-22
要求内容限制ping包的大小,以及一段时间内同一主机发送的次
数。
操作指南1、参考配置操作
2、补充操作说明
打开该功能后需进行一定的配置。
检测方法 1.判定条件
查看该功能是否已经打开。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-23
要求内容对于各端口要开启防欺骗功能。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法 1.判定条件
查看防欺骗功能是否打开。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-24
要求内容对于具备字符交互界面的设备,应配置定时账户自动登
出。
操作指南1、参考配置操作
该设备自动设定。
2、补充操作说明
无。
检测方法 1.判定条件
停止操作一段时间,查看是否已经自动登出。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-25
要求内容对于具备图形界面(含WEB界面)的设备,应配置定时
自动登出。
操作指南1、参考配置操作
该设备自动进行默认设置。
2、补充操作说明
无。
检测方法 1.判定条件
在超出设定时间后,用户自动登出设备。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-26
要求内容对于具备consol口的设备,应配置consol口密码保护功
能。。
操作指南1、参考配置操作
该设备无此功能。
2、补充操作说明
无。
检测方法 1.判定条件
无。
2.检测操作
无。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-27
要求内容对于登陆账户的ip地址,配置为只允许从某些ip地址登
陆。
操作指南1、参考配置操作
2、补充操作说明
无。
检测方法 1.判定条件
对于非允许的ip地址不能登陆。
2.检测操作
使用非允许的ip地址登陆。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-28
要求内容对于外网口地址,关闭对ping包的回应。建议通过VPN
隧道获得内网地址,从内网口进行远程管理。
操作指南1、参考配置操作
在策略中添加一条禁止ping外网口的策略。
2、补充操作说明
无。
检测方法 1.判定条件
对于外网口的ping测试不成功。
2.检测操作
对于外网口进行ping测试。
3.补充说明
无。
编号:CHECKPOINTFW-PZ-29
要求内容设定统一的时钟源。
操作指南1、参考配置操作
在Voyager界面的‘Router Services’启动NTP服务;
在’Configuration’的‘Configure system time’指定NTP服
务器IP地址。
2、补充操作说明
无。
检测方法 4.判定条件
系统时间和时钟源同步。
5.检测操作
用系统命令’date’查看系统时间。
6.补充说明
无。
编号:CHECKPOINTFW-PZ-30
要求内容设定对防火墙的保护安全规则
操作指南1、参考配置操作
在策略最前面中添加一条允许指定主机/网络管理防火墙的策略。
2、补充操作说明
无。
检测方法7.判定条件
指定主机/网络之外的客户端不能访问防火墙。
8.检测操作
无。
9.补充说明
无。
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc1。 双 CheckPoint 防火墙实施方案 目 录 第一章 客户环境概述…… 4 1.1 概述 …… 4 1.2 网络拓扑与地址分配表 …… 4 1.3 安装前准备事宜 …… 6 第二章 Nokia IP380 安装与配置 …… 7 2.1 概述 …… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息 …… 8 2.3.1 Nokia 端口 IP 地址设定 …… 8 2.3.2 设置网关路由 …… 8 2.3.3 设置 Nokia 平台时间 …… 9 2.3.4 设定 Nokia 高可用 VRRP 参数 …… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上 checkpoint 的安装与卸载 …… 14 2.4.2 初始化 checkpoint …… 16 第三章 管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备 …… 18 3.1.2 安装步骤 …… 18 3.2 配置 checkpoint 对象和参数 …… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构 …… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。 …… 21 3.3 基于 nokia vrrp 或者 cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置 …… 22 3.3.2 为 nokia vrrp 定义策略 …… 22 3.3.3 高可用性的检查 …… 23 3.4nokia cluster 的设置 …… 23 3.5 暂时没有 …… 23 第四章 策略设定…… 24 4.1 概述 …… 24 4.2 netscreen 的策略 …… 24 4.3 经过整理后转换成 checkpoint 的策略 …… 24 4.4 设定策略 …… 24 4.4.1 定义主机对象 …… 24 4.4.2 定义网络对象 …… 25 4.4.3 定义组 …… 26 4.4.4 定义服务 …… 26 4.4.5 添加标准策略 …… 27 4.4.6 添加 NAT 策略…… 27 第五章 切换与测试…… 29 5.1 切换 …… 29 5.2 测试 …… 29 5.3 回退 …… 30 第六章 日常维护…… 31 6.1 防火墙的备份与恢复 …… 31 6.1.1 nokia 防火墙的备份与恢复方法 …… 31 6.1.2 checkpoint management 上的备份与恢复 …… 33 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心 防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原 有的服务不变。 由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施 改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址 防火墙各端口参数 端口 Eth1 用途 外网 口 Eth2 Eth3 Eth4 ? DMZ 内网 同步 口 gateway 静态路 由 172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上 内存 128 以上 硬盘 60M 以上 操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台 内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装包 第二章 Nokia IP380 安装与配置 2.1 概述 首先我们可以对两台 Nokia IP380 进行安装与配置,由于 Nokia 防火墙将会 替代 Netscreen,所以 Nokia 防火墙可以进行离线配置。配置步骤如下。 2.2 初始化 nokia380 1. 使用 nokia console 线,连接 nokia console 口和管理 pc 的串行端口,
CheckPoint 防火墙基本操作及应急措施
防火墙基本操作及应急措施陈世雄安全工程师 CCSE
议程 ?智能边界安全解决方案?CheckPoint 配置基础?常见问题及应急措施
Check Point 简介 ?最受信赖、最可依靠的互联网安全厂商 –我们致力发展安全领域——并且比任何厂商更优秀! –全球财富100企业中,100%企业使用我们的产品 –在防火墙和虚拟专用网络(VPN)市场中占有领导 地位 ?在全球 VPN/防火墙软件市场销售额中占70%份额 (Infonetics提供数据) ?VPN/防火墙软件市场占有率超过 54% (IDC提供数据) ?安全硬件设备市场份额中有 36% 为 Check Point 产品(由 Infonetics 提供) ?以客为本的企业原则 –业界领先的技术合作伙伴关系 –强大且广泛的渠道合作伙伴关系
状态检测 / FireWall-1 1993 OPSEC 1997 VPN-1 1998 Next Generation 2001 SmartDefense 2002 应用智能 2003 Check Point: 一直走在客户现实需求的前面 创新历程 1994 1995 1996 1999 2000 Web 智能 2004
我们的策略 2004上半年提供! ? 安全远程访问 ? Web 服务器保护 ? 统一认证 ? 一致性策略管理 ? 市场领先 ? 十年的成功史 ? 最新发布 - InterSpect 2.0 - Connectra 2.0 - Intergrity 6.0 ? Check Point InterSpect ? Zone Labs SMART 管理 无忧保护 边界 深入检查 智能 安全解决方案
Checkpoint防火墙测试用例
Checkpoint R65 Test Plan Revision 0.1 2009-10-14 Author: Peng Gong
Revision History
1‘FW MONITOR’ USAGE (7) 2TEST SUITES (7) 2.1R65I NSTALL &U NINSTALL (7) 2.1.1Create a v3 vap-group with vap-count/max-load-count set >1, Confirm R65 and related HFA could be installed on all vap within vap-group successfully (7) 2.1.2Create a v4 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (9) 2.1.3Create a v5 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (10) 2.1.4Create a v5_64 vap-group, confirm XOS would prompt correctly message and failure install would cause unexpected issue to system (11) 2.1.5Try to install R65 on a v3 vap-group and abort the install process, confirm nothing is left afterwards12 2.1.6Reduce max-load-count down to 1, confirm only one Vap is allowed to run R65 accordingly (13) 2.1.7Increase vap-count and max-load-count to maximum vap count and executing "application-update", confirm all the Vap are running R65 properly (14) 2.1.8Reduce vap-count to 3, Confirm the surplus Vap is stopped from running R65 and related partitions are removed from CPM (15) 2.1.9Enable/Disable IPv6 in vap-group and w/o ipv6-forwarding, confirm R65 wouldn't be affected. (16) 2.1.10Confirm the installed R65 could be stopped through CLI (17) 2.1.11Confirm the installed R65 could be started through CLI (18) 2.1.12Confirm the installed R65 could be restarted through CLI (18) 2.1.13Confirm the installed R65 could be reconfigured through CLI (19) 2.1.14Confirm checkpoint could be upgraded to R70 by CLI: application-upgrade (19) 2.1.15Confirm R65 could run properly while reload vap-group totally (20) 2.1.16Confirm R65 could run properly while reload all chassis totally (20) 2.1.17Create 2 vap groups, install R65 on both. Confirm R65 are running on both vap-groups without any mutual impact. (21) 2.1.18Confirm configure operation couldn't be allowed if some Vap don't run R65 properly. (23) 2.1.19Confirm uninstall/Configure operation couldn't be allowed if some Vap don't run properly. (24) 2.1.20Confirm start/stop/restart operation could works prope rly if R65 doesn’t run properly on some Vaps.25 2.1.21Confirm configure operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (26) 2.1.22Confirm uninstall operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (27) 2.1.23Confirm start/stop/restart operation couldn't be allowed if vap-count>max-load-count causing some Vap don't run properly (28) 2.1.24Confirm R65 could be uninstalled from vap-group (29) 2.1.25Confirm R65 installation package could be remove from XOS by CLI: application-remove (30) 2.2C HECKPOINT F EATURES (31) 2.2.1Create GW and Set SIC, get topology from Smart Dashboard (31) 2.2.2Configure Policy and push policy (31) 2.2.3Confirm R65 could be started/stoped/restarted by cp-command (32) 2.2.4Confirm different kinds of rule actions could work - allow/drop/reject (33) 2.2.5Verify different kinds of tracking actions could work properly - log/alert/account (33) 2.2.6Verify static NAT and hide NAT work properly (34) 2.2.7Verify default license is installed automatically (34) 2.2.8Verify some usual fw commands output - fw ver -k/ fw ctl pstat/ fw tab/ fw stat/ cphaprob stat /fw fetch /fw unloadlocal / fwaccel stat (34) 2.2.9Verify SXL status if enable/disable it (36) 2.2.10Verify the log information in SmartViewer are displayed correctly. (37) 2.2.11Verify the GW and its member information in SmartViewer are displayed correctly (37) 2.2.12Define a VPN Community between two GW; Confirm traffic can pass (37) 2.2.13Create a VPN client tunnel, make sure client can login and traffic is encrypted as it should (38) 2.2.14Enabling/Disabling SXL during connections (39) 2.2.15Fail over the active member during connections (39) 2.3I NTERFACE T EST-T RAFFIC MIXED WITH IPV6 AND IPV4 (39) 2.3.1Verify traffic pass through the interface without SXL - non vlan<--->vlan (tcp+udp+icmp) (39)
CheckPoint防火墙安装手册
防火墙安装操作手册By Shixiong Chen
一、准备安装介质和服务器 安装CheckPoint防火墙基于开放的服务器平台需要准备两点: 如果选用的是Checkpoint的硬件,UTM-1则不需要考虑这些问题。 第一,准备好服务器,服务器最好选择IBM\HP\或者其他大品牌厂商的硬件平台,并且事先确认该品牌和型号的服务器与CheckPoint软件兼容性,将网卡扩展至与真实火墙一致,服务器需要自带光驱。 第二,准备好CheckPoint防火墙安装介质,注意软件的版本号与真实环境火墙一致,同时准备好最新的防火墙补丁。 二、SecurePlatform系统安装过程 硬件服务器初始状态是裸机,将服务器加电后,设置BIOS从光盘启动,将CheckPoint软件介质放入光驱,然后出现如下界面: 敲回车键盘开始安装。出现如下界面,选择OK,跳过硬件检测。
选择安装的操作系统类型,根据自己防火墙操作系统的版本选择。SecurePlatform Pro是带有高级路由和支持Radius的系统版本。 选择键盘支持的语言,默认选择US,按TAB键,继续安装。 配置网络接口,初始我们配置外网接口即可,选择eth0配置IP, 输入IP地址、子网掩码、以及默认网关,然后选择OK,继续。 选择OK.开始格式化磁盘。
格式化完成后开始拷贝文件,最后提示安装完成,按照提示点击OK.系统会自动重新启动。然后出现登陆界面,如下所示。 第一次登陆系统,默认账号和密码都是admin,登陆后需要出入新的密码和管理员账号。 三、CheckPoint防火墙软件安装过程
运行sysconfig 命令,启动安装防火墙包。选择n,继续安装。 打开网络配置页面,选择1,配置主机名,选择3配置DNS服务器,选择4配置网络,选择5配置路由,注意要与生产线设备的配置保持一致,特别是路由要填写完整,主机名、接口IP和子网掩码要填写正确。 配置完成后,选择n,下一步继续配置,如下图所示,选择1配置时区(选择5,9,1),选择2配置日期,选择3配置本地系统时间,选择4查看配置情况。注意配置时间和日期的格式。完成后选择n, 然后会出现提示是否从tftp服务器下载安装软件,选择n.然后出现如下界面,选择N,继续安装。 选择Y,接受安装许可协议。
checkpoint防火墙技术
CheckPoint FireWall-1防火墙技术 2007-11-14 18:22:23 随着Internet的迅速发展,如何保证信息和网络自身安全性的问题,尤其是在开放互联环境中进行商务等机密信息的交换中,如何保证信息存取和传输中不被窃取、篡改,已成为企业非常关注的问题。 作为开放安全企业互联联盟(OPSEC)的组织和倡导者之一,CheckPoint公司在企业级安全性产品开发方面占有世界市场的主导地位,其FireWall-1防火墙在市场占有率上已超过44%,世界上许多著名的大公司,如IBM、HP、CISCO、3COM、BAY等,都已成为OPSEC的成员或分销CheckPoint FireWall-1产品。 CheckPoint FireWall-1 V3.0防火墙的主要特点。 从网络安全的需求上来看,可以将FireWall-1的主要特点分为三大类,第一类为安全性类,包括访问控制、授权认证、加密、内容安全等;第二类是管理和记帐,?包括安全策略管理、路由器安全管理、记帐、监控等;第三类为连接控制,包括负载均衡高可靠性等;下面分别进行介绍。 1.访问控制 这是限制未授权用户访问本公司网络和信息资源的措施。评价访问控制的一个重要因素是要看其能否适用于现行的所有服务和应用。第一代包过滤技术,无法实施对应用级协议处理,也无法处理UDP、RPC或动态的协议。第二代应用代理网关防火墙技术,为实现访问控制需要占用大量的CPU资源,对Internet上不断出现的新应用(如多媒体应用),无法快速支持. CheckPoint FireWall-1的状态监测技术,结合强大的面向对象的方法,可以提供全七层应用识别,对新应用很容易支持。目前支持160种以上的预定义应用和协议,包括所有Internet服务,如安全Web浏览器、传统Internet应用(mail、ftp、telnet)、UDP、RPC等,此外,支持重要的商业应用,如OracleSQL*Net、SybaseSQL服务器数据库访问;支持多媒体应用,如RealAudio、CoolTalk、NetMeeting、InternetPhone等,以及Internet广播服务,如BackWeb、PointCast。 另外,FireWall-1还可以提供基于时间为对象的安全策略定制方法。 FireWall-1开放系统具有良好的扩展性,可以方便的定制用户的服务,提供复杂的访问控制。 2.授权认证(Authentication) 由于一般企业网络资源不仅提供给本地用户使用,同时更要面向各种远程用户、移动用户、电信用户的访问,为了保护自身网络和信息的安全,有必要对访问连接的用户采取有效的权限控制和访问者的身份识别。经过认证,FireWall-1能保证一个用户发起的通信连接在允许之前,就其真实性进行确认。FireWall-1提供的认证无须在服务器和客户端的应用进行任何修改。FireWall-1的服务认证是集成在整个企业范围内的安全策略,可以通过防火墙的GUI进行集中管理。同时对在整个企业范围内发生的认证过程进行全程的监控、跟踪和记录。FireWall-1提供三种认证方法: 用户认证(Authentication) 用户认证(UA)是基于每个用户的访问权限的认证,与用户的IP地址无关,FireWall-1提供的认证服务器包括:FTP、TELNET、HTTP、RLOGIN。 UA对移动用户特别有意义,用户的认证是在防火墙系统的网关上实施的。
CheckPoint防火墙配置
C h e c k P o i n t防火墙配置 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 ╳╳╳╳-╳╳-╳╳发布╳╳╳╳-╳╳-╳╳实施 中国移动通信有限公司网络部
目录 1概述 (2) 1.1适用范围 (2) 1.2内部适用性说明 (2) 1.3外部引用说明 (4) 1.4术语和定义 (4) 1.5符号和缩略语 (4) 2CHECKPOINT防火墙设备配置要求 (5)
前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考 1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注 1.不同等级管理员分配不同账号,避 完全采纳 免账号混用。 完全采纳 2.应删除或锁定与设备运行、维护等 工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度至少8 位,并包括数字、小写字母、大写 字母和特殊符号4类中至少2类。 4.账户口令的生存期不长于90天。部分采纳IPSO操作系统支持 5.应配置设备,使用户不能重复使用 部分采纳IPSO操作系统支持最近5次(含5次)内已使用的口 令。 6.应配置当用户连续认证失败次数超 部分采纳IPSO操作系统支持过6次(不含6次),锁定该用户使 用的账号。 完全采纳 7.在设备权限配置能力内,根据用户 的管理等级,配置其所需的最小管
CheckPoint 防火墙 双机 HA 实施 方案
本文由no1moonboy贡献 doc文档可能在WAP端浏览体验不佳。建议您优先选择TXT,或下载源文件到本机查看。 双 CheckPoint 防火墙实施方案 目录 第一章客户环境概述…… 4 1.1 概述…… 4 1.2 网络拓扑与地址分配表…… 4 1.3 安装前准备事宜…… 6 第二章 Nokia IP380 安装与配置…… 7 2.1 概述…… 7 2.2 初始化 nokia380 …… 7 2.3 设置 nokia 基本信息…… 8 2.3.1 Nokia 端口 IP 地址设定…… 8 2.3.2 设置网关路由…… 8 2.3.3 设置 Nokia 平台时间…… 9 2.3.4 设定Nokia 高可用 VRRP 参数…… 9 2.4 初始化 checkpoint …… 14 2.4.1 在 nokia 平台上checkpoint 的安装与卸载…… 14 2.4.2 初始化 checkpoint …… 16 第三章管理服务器的安装与配置…… 17 3.1checkpoint smartcenter 的安装…… 18 3.1.1 安装前的准备…… 18 3.1.2 安装步骤…… 18 3.2 配置 checkpoint 对象和参数…… 20 3.2.1 建立 sic …… 20 3.2.2 定义防火墙对象拓扑结构…… 21 3.2.3 使用同样的步骤按照表 1 的参数建立 IP380B checkpoint gateway 对象。…… 21 3.3 基于 nokia vrrp 或者cluster 的设置…… 22 3.3.1 基于 Nokia VRRP 的设置…… 22 3.3.2 为 nokia vrrp 定义策略…… 22 3.3.3 高可用性的检查…… 23 3.4nokia cluster 的设置…… 23 3.5 暂时没有…… 23 第四章策略设定…… 24 4.1 概述…… 24 4.2 netscreen 的策略…… 24 4.3 经过整理后转换成 checkpoint 的策略...... 24 4.4 设定策略...... 24 4.4.1 定义主机对象...... 24 4.4.2 定义网络对象...... 25 4.4.3 定义组...... 26 4.4.4 定义服务 (26) 4.4.5 添加标准策略…… 27 4.4.6 添加 NAT 策略…… 27 第五章切换与测试…… 29 5.1 切换...... 29 5.2 测试...... 29 5.3 回退...... 30 第六章日常维护...... 31 6.1 防火墙的备份与恢复...... 31 6.1.1 nokia 防火墙的备份与恢复方法...... 31 6.1.2 checkpoint management 上的备份与恢复 (33) 第一章 客户环境概述 1.1 概述 XXXXXX 公司因应企业内部的网络需求,对总部网络进行扩容改动,中心防火墙从原来的 netscreen 换成两台 Nokia IP380,两台 nokia 互为热备。维持原有的服务不变。由于这次网络改动比较大,所以先离线进行安装和测试,最后再进行切换 1.2 网络拓扑与地址分配表 XXXXXX 改造前网络拓扑如下 改动后,XXX 将按照以下图进行实施改动后, 给个设备及端口的地址分配入下表所示 IP 地址分配表(表 1) 管理服务器参数 IP 地址防火墙各端口参数端口 Eth1 用途外网口 Eth2 Eth3 Eth4 ? DMZ 内网同步口gateway 静态路由172.16.100.5/30 172.16.100.6/30 172.16.100.1/30 10.101.1.101/24 10.101.1.102/24 10.101.1.1/24 192.168.11.1/24 192.168.11.2/24 Nokia380A Nokia380B 虚拟地址 1.3 安装前准备事宜 1.管理服务器硬件平台 CPU 奔腾 3 500 以上内存 128 以上硬盘 60M 以上操作系统,windows 2000 server +SP4 补丁 2.网络连线 3.Checkpoint 及 nokia 管理软件 Checkpoint NG AI R55 安装包 for windows hotfix09 或以上 4.Nokia IP380 设备两台内置 IPSO3.8 build 39 内置 checkpoint NG AI R55 安装
CheckPoint防火墙配置
C h e c k P o i n t防火墙配 置 公司内部编号:(GOOD-TMMT-MMUT-UUPTY-UUYY-DTTI-
C h e c k P o i n t 防火墙配置 ╳╳╳╳-╳╳-╳╳发布 ╳╳╳╳-╳╳-╳╳实施 S p e c i f i c a t i o n f o r C h e c k P o i n t F i r e W a l l C o n f i g u r a t i o n U s e d i n C h i n a M o b i l e 版本号:1.0.0 中国移动通信有限公司网络部
目录 前言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的CHECKPOINT 防火墙设备。本规范明确了设备的基本配置要求,为在设备入网测试、工程验收和设备运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规范,工程验收手册,局数据模板等文档的参考1.2内部适用性说明 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出的CHECKPOINT防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在“采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、“不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因)。 内容采纳意见备注
1.不同等级管理员分配不同账 号,避免账号混用。 完全采纳 2.应删除或锁定与设备运行、 维护等工作无关的账号。 完全采纳 3.防火墙管理员账号口令长度 至少8位,并包括数字、小 写字母、大写字母和特殊符 号4类中至少2类。 完全采纳 4.账户口令的生存期不长于90 天。部分采纳IPSO操作系统 支持 5.应配置设备,使用户不能重 复使用最近5次(含5次) 内已使用的口令。部分采纳IPSO操作系统 支持 6.应配置当用户连续认证失败 次数超过6次(不含6 次),锁定该用户使用的账 号。部分采纳IPSO操作系统 支持 7.在设备权限配置能力内,根 据用户的管理等级,配置其 所需的最小管理权限。 完全采纳 8.设备应配置日志功能,对用 户登录进行记录,记录内容 包括用户登录使用的账号, 登录是否成功,登录时间, 以及远程登录时,用户使用 的IP地址。 完全采纳 9.设备应配置日志功能,记录 用户对设备的重要操作。 完全采纳 10.设备应配置日志功能, 记录对与设备相关的安全事 件。 完全采纳 11.设备配置远程日志功 能,将需要重点关注的日志 内容传输到日志服务器。 完全采纳 12.防火墙应根据业务需要,配 置基于源IP地址、通信协 议TCP或UDP、目的IP地 址、源端口、目的端口的流 量过滤,过滤所有和业务不 相关的流量。 完全采纳13.对于使用IP协议进行远完全采纳
Checkpoint防火墙安全配置手册V1.1
Checkpoint防火墙安全配置手册v1.1 CheckPoint防火墙 安全配置手册 Version 1.1 XX公司 二零一五年一月 第1页共41 页
目录 1 综述 (3) 2 Checkpoint的几种典型配置 (4) 2.1 checkpoint 初始化配置过程: (4) 2.2 Checkpoint Firewall-1 GUI安装 (13) 2.3 Checkpoint NG的对象定义和策略配置 (19) 3 Checkpoint防火墙自身加固 (37)
1综述 本配置手册介绍了Checkpoint防火墙的几种典型的配置场景,以加强防火墙对网络的安全防护作用。同时也提供了Checkpoint防火墙自身的安全加固建议,防止针对防火墙的直接攻击。通用和共性的有关防火墙管理、技术、配置方面的内容,请参照《中国移动防火墙安全规范》。
2Checkpoint的几种典型配置 2.1checkpoint 初始化配置过程: 在安装完Checkpoint软件之后,需要在命令行使用cpconfig命令来完成Checkpoint 的配置。如下图所示,SSH连接到防火墙,在命令行中输入以下命令: IP350[admin]# cpconfig Welcome to Check Point Configuration Program ================================================= Please read the following license agreement. Hit 'ENTER' to continue... (显示Checkpoint License版权信息,敲回车继续,敲q可直接跳过该License提示信息) Do you accept all the terms of this license agreement (y/n) ?y (输入y同意该版权声明) Which Module would you like to install ? ------------------------------------------- (1) VPN-1 & FireWall-1 Enterprise Primary Management and Enforcement Module
checkpoint防火墙状态表
了解Check Point FW-1状态表 作者:Lance Spitzner) 整理:warning3) 主页: 日期:2000-08-15 <* 译者:以前关于防火墙状态表,也只是有一个大概的了解,通过看这篇文章,也纠正了一些自己的错误看法,感觉很有收获,因此就把它翻译出来了。由于时间仓促,可能些地方翻的会有问题,如发现错误,请跟我联系。 这篇文章的主要目的是帮助你了解FW-1的状态连接表是如何工作的。这张表使FW-1知道谁在做什么,什么连接时是允许通过的...这篇文章是我对最新的FW-1 版研究的一个继续。为了使你更好的理解你自己的FW-1状态检查表并与我所说的进行验证,我将这篇文章中所用到的源码附在最后。 状态检查(Stateful Inspection ) ============================== 让我们首先从一个很基本的问题开始我们的讨论。假设你有一个防火墙,它的过滤规则允许所有连接通过(any - any -accept),那么防火墙是否会允许一个用ACK位发起的新TCP连接通过呢如果防火墙允许任何连接通过,那么似乎任意的包都应当通过。然而,如果从状态检查的工作原理上看,这个包又似乎应当被丢弃。 我开始对状态检查(至少是对Check Point FireWall-1)的理解是这样的: 当防火墙收到一个发起TCP连接请求的SYN包时,这个SYN包首先会与防火墙的过滤规则按顺序(从规则0开始)进行比较,如果所有的规则都不允许接受这个包,那它就被拒绝,这个连接就被丢弃或者拒绝(发送RST包给远程主机).然而,如果这个包被接受了,这个连接会话就被加入到防火墙的状态连接表中,这个表在内核空间中分配。后续的每个包(不带SYN标记的包)都会与状态表比较,如果相应的会话已经在表中了,那个这个包就是连接会话的一部分,然后这个包就被接受,允许通过。如果不是,这个包就被丢弃。这将
11.CheckPoint 防火墙管理中心高可用性操作手册
C h e c k P o i n t防火墙管理中心 高可用性操作手册 广州中软信息技术有限公司
目录 1. 管理中心高可用性概述 (3) 2. 管理中心高可用性解决方案 (4) 2.1. 备份管理中心服务器 (4) 2.2. 管理中心高可用性部署 (5) 2.3. 管理中心备份信息 (6) 2.4. 管理中心同步模式 (6) 2.5. 管理中心同步状态 (7) 2.6. 改变管理中心状态 (8) 2.7. 高可用性注意事项 (8) 3. 管理中心高可用性配置 (10) 3.1. 安装与同步备份管理中心 (10) 3.2. 改变管理中心状态 (12) 3.3. 管理中心同步方式 (13)
1.管理中心高可用性概述 CheckPoint管理中心SmartCenter由几个独立的数据库组成,分别存储了用户定义的网络对象、用户对象以及安全策略等信息。系统管理员修改了这些数据库中的信息后,管理中心服务器会把修改后的信息发布到SVN产品的各个相关组件进行执行,因此,做好管理中心数据的备份是很重要的。备份了管理中心的数据后,在管理中心服务器失效时可以保证这些重要的数据不会丢失。另外,如果管理中心服务器由于维护的目的需要停机,备份管理中心服务器就可以代替活动的管理中心服务器进行各种处理。例如,执行模块就可以从备份管理中心服务器获得安全策略和传递CRL以及传达其它信息等。
2.管理中心高可用性解决方案 2.1. 备份管理中心服务器 实现管理中心的高可用性,那么活动的管理中心服务器就总有一个或多个的备份管理中心服务器处于备份状态,准备随时从活动的管理中心服务器接替管理中心的任务。备份的管理中心服务器必须和活动的管理中心服务器具有相同的操作系统(例如:Windows NT、Window 2000),操作系统的版本可以不相同。备份管理中心服务器的存在可以起到两方面的作用: 备份活动管理中心――企业防火墙的各种不同数据库和信息,例如网络对象数据库、用户对象数据库、安全策略数据库以及ICA文件等都会存储到备份的管理中心服务器,并且备份管理中心服务器可以同主管理中心服务器进行同步,以便保证保存信息的一直。如果主管理中心服务器失效,备份管理中心服务器需要升级为主管理中心服务器并承担起修改策略和安装策略的工作。 完成执行模块控制――执行模块的一些操作是通过活动的管理中心服务器完成的,例如下载安全策略,或者从管理中心服务器传达CRL等,这些工作是备份服务器不能完成的。
CheckPoint防火墙操作手册
CheckPoint防火操作手册1 配置主机对象
定义防火墙策略时,如需对I P 地址进行安全策略控制则需首先配置这个对象,下面介 绍主机对象配置步骤, 在“Network Objects”图标处,选择“Nodes”属性上点击右键,选择“Node” ,点击“Host”选项, 定义主机对象的名称,IP Address属性,同时可按照该主机的重要性定义颜色,配置完成后点击OK,主机对象创建完成。 2 配置网段对象
定义防火墙策略时,如需对网段进行安全策略控制则需首先配置这个网络对象,配置步骤如下,在防火墙“Network”属性上点击右键,选择“Network” ,选项, 定义网段名称,比如DMZ,Internal,建议根据网段所处位置定义,配置网段地址和子网掩码,如有必要可以添加注释(Comment),配置完成后点击确认。
3 配置网络组对象 如果需要针对单个I P 地址、IP 地址范围或者整个网段进行安全策略控制,可以将这 些对象添加到网络组,如下在防火墙“Group”属性上点击右键,选择“Simple Group” 选项, 成后点击O K 即可
4 配置地址范围对象 除了配置I P 地址,网段,也可以指定地址范围(IP range),地址范围对象配置步骤是,如下在防火墙“Network”属性上点击右键,选择去掉“Do not show empty folders”选项,让I P Range 配置属性显示出来。 配置“Address Rage”,选择“Address Ranges”,如下图
输入地址名称、起始IP地址与结束IP地址,完成后点击OK即可。 5 配置服务对象 5.1 配置T CP 服务对象 Check Point 防火墙内置了预定义的近千种服务,包括T CP、UDP、RPC、ICMP 等各种类型服务,通常在定义防火墙安全策略时,大多数服务已经识别并内置,因此无需额外添加,但也有很多企业自有开发程序使用特殊端口需要自行定义,下面介绍如何自定义服务,如下图所示,点击第二个模块标签,即S ervices,已经预定义多种类型服务,用户根据需要自定义新的服务类型,下面举例定义T CP 类型服务,右键点击“TCP” ,选择“ New TCP
CheckPoint防火墙配置
中国移动通信 CHINA MOBILE CheckPo int 防火墙配置 Specificati on for CheckPo int FireWail Co nf i g u r a中国移n动通版信有限公司网络部n2 .Mo bile XXXX - XX - XX 发布XXXX - XX - XX 实施
1 1.2内部适用性说明 1 概述 2 CHECKPOIN 防火墙设备配置要求 (7) 冃U 言 概述 1.1适用范围 本规范适用于中国移动通信网、业务系统和支撑系统的 CHECKPOIN 防火墙 设备。本规范明确了设备的基本配置要求, 为在设备入网测试、工程验收和设备 运行维护环节明确相关配置要求提供指南。本规范可作为编制设备入网测试规 范,工程验收手册,局数据模板等文档的参考 本规范是依据《中国移动防火墙配置规范》中配置类规范要求的基础上提出 目录 1 6 7 7
的CHECKPOIN防火墙配置要求规范,为便于比较,特作以下逐一比较及说明(在 2 2.2内部适用性说明
数超过6次(不含6次),锁定 持 “采纳意见”部分对应为“完全采纳”、“部分采纳”、“增强要求”、“新增要求”、 “不采纳”。在“补充说明”部分,对于增强要求的情况,说明在本规范的相应 条款中描述了增强的要求。对于“不采纳”的情况,说明采纳的原因) 。 内容 采纳意见 备注 1.不同等级管理员分配不同账 完全采纳 号,避免账号混用。 2.应删除或锁定与设备运行、维 完全采纳 护等工作无关的账号。 3.防火墙管理员账号口令长度至 完全采纳 少8位,并包括数字、小写字 母、大与子母和特殊符号4类 中至少2类。 4.账户口令的生存期不长于 90 部分采纳 IPSO 操作系统支 天。 持 5.应配置设备,使用户不能重复 部分采纳 IPSO 操作系统支 使用最近5次(含5次)内已 持 使用的口令。 该用户使用的账号。 6.应配置当用户连续认证失败次 部分采纳 IPSO 操作系统支